La piattaforma Rousseau continua a presentare «importanti vulnerabilità». Arriva una nuova multa del Garante per la privacy
nei confronti dell’Associazione presieduta da Davide Casaleggio che gestisce il “cuore” digitale del M5S, da cui passano
votazioni, formazione online e discussione sui progetti di legge. Dopo la sanzione di 32mila euro comminata nel marzo 2018
proprio per la vulnerabilità della sicurezza e dei dati degli iscritti, oggi l’Authority guidata da Antonello Soro (ex Pd)
ne ha irrogata un’altra da 50mila euro. Scatenando l’ira di Casaleggio e dei suoi. In una nota diffusa in serata l’Associazione
attacca: «L’Autorità indipendente che si occupa della protezione dei dati personali non può più essere messa nelle mani di
un uomo di partito». Rincarando la dose: «Soro è laureato in medicina e ha fatto politica per tutta la vita. Per quali competenze
è stato nominato presidente dell’Autorità garante per
la protezione dei dati personali?».
L’elenco di prescrizioni
Il provvedimento del Garante prescrive all’Associazione Rousseau una lunga lista di raccomandazioni: completare l’adozione delle misure di auditing informatico;
provvedere ad assegnare credenziali di autenticazione ad uso esclusivo di ciascun utente con privilegi amministrativi, entro
10 giorni; entro 120 giorni rivisitazione complessiva delle iniziative di sicurezza adottate. Infine, entro il termine di
60 giorni, chiede di effettuare una valutazione d’impatto sulla protezione dei dati, riferita alle funzionalità di e-voting.
«Solo in base a una rigorosa progettazione e a una attenta valutazione dei rischi - si legge nel provvedimento - è infatti
possibile realizzare un sistema di e-voting in grado di fornire garanzie di resilienza nonché di assicurare l’autenticità
e e la riservatezza delle espressioni di voto». Le conclusioni sulla valutazione di impatto dovranno perventire al Garante
entro 70 giorni al massimo.
La rilevanza per la partecipazione democratica
L’intervento è accompagnato dalla valutazione dell’«urgenza di intervenire su una struttura, come la piattaforma Rousseau,
di particolare rilevanza e delicatezza anche sotto il profilo della partecipazione democratica dei cittadini alle scelte politiche».
Un colpo per il Movimento di Luigi Di Maio e di Casaleggio, proprio alla vigilia dell’appuntamento annuale di Ivrea “Sum-Capire
il futuro”, in programma sabato prossimo, promosso dall’Associazione Gianroberto Casaleggio, presieduta anch’essa dal figlio
del cofondatore.
L’obsolescenza di alcune componenti software
Il Garante ha analizzato tutti gli adempimenti compiuti dall’Associazione dopo il primo provvedimento del 21 dicembre 2017,
riconoscendo che «nel complesso sia stato realizzato un sostanziale innalzamento dei livelli di sicurezza dei trattamenti
effettuati nell’ambito dei siti web» nel mirino. Ma «persistono criticità derivanti dall’obsolescenza di alcune componenti
software». La piattaforma Cms, ad esempio, è ancora Movable Type 4 mentre la versione corrente è Movable Type 7, ultima release
29 gennaio. Non è un dettaglio di poco conto, perché il produttore ha cessato la distribuzione di aggiornamenti e patch di
sicurezza.
I dubbi sull’autenticità del voto
Ma il capitolo più insidioso è quello relativo alle votazioni elettroniche, quelle che Casaleggio e Di Maio hanno promesso
di aumentare sempre di più. Non si può ritenere che la mera rimozione del numero telefonico accanto al nome dell’utente sia
«coerente con gli obiettivi di protezione dei dati personali che si intendevano promuovere», scrive il Garante. Questo aspetto,
insieme al fatto che un ristretto novero di persone abbia la possibilità di accedere «a delicate funzionalità delle piattaforme
software senza che il loro operato possa essere soggetto a verifiche», rende poco protetti i dati relativi al voto online.
Perché le procedure lasciano «esposti i risultati (per un’ampia finestra temporale che si estende dall’istante di apertura
delle urne fino alla successiva “certificazione” dei risultati, che può avvenire a distanza di diversi giorni dalla chiusura
delle operazioni di voto) ad accessi ed elaborazioni di vario tipo». Che vanno «dalla mera consultazione a possibili alterazioni
o soppressioni, all’estrazione di copie anche offline». Parole come macigni: la piattaforma non è in grado «né di prevenire
gli abusi commessi da addetti interni» né di consentire l’accertamento a posteriori dei loro comportamenti. La “certificazione”
che l’Associazione assicura (che sia di una società esterna o di un notaio), in queste condizioni, è tecnicamente inutile.
Casaleggio in Procura: profili «clone» alle europarlamentarie
La multa del Garante giunge nel giorno in cui si vota alle “europarlamentarie” (urne online aperte fino alle 22) per scegliere
i 76 candidati M5S alle elezioni europee del 26 maggio. Un’Area voto potenziata dal punto di vista dell’infrastruttura tecnologica,
assicurano dal Movimento, rispetto alle rilevazioni del Garante che si riferiscono allo scorso novembre. Casaleggio stamane
ha sporto denuncia in Procura per conto dell’Associazione Rousseau contro alcuni profili “clone” tra gli iscritti, creati
con i loro dati ma senza il consenso dei diretti interessati. Per Enrica Sabatini, una dei quattro soci di Rousseau (insieme
a Massimo Bugani e Pietro Dettori, entrambi nello staff del vicepremier Luigi Di Maio a Palazzo Chigi), la denuncia «dimostra
che il potenziamento dei processi ha funzionato, ovvero quel sistema di segnalazione che ha consentito e consente agli iscritti
di inviare segnalazioni documentate per strutturare il controllo».
Il Pd: pronta interrogazione parlamentare
Le opposizioni si scatenano. Il Pd annuncia un’interrogazione parlamentare per chiedere al Governo «garanzie» sulle votazioni
su Rousseau. «Da anni segnaliamo i buchi connessi alla tecnologia utilizzata», dice il deputato dem Francesco Boccia. E la
capogruppo di Fi alla Camera, Mariastella Gelmini, attacca: «La democrazia diretta del M5S è un bluff. Sono a rischio i dati
personali e le votazioni online manipolabili».
© Riproduzione riservata